ทุกวันนี้การพัฒนาแอพพลิเคชันจำนวนมาก มักจำเป็นต้องเก็บรหัสผ่านหรือคีย์บางอย่าง เช่น รหัสผ่านเข้าถึงฐานข้อมูล หรือ คีย์สำหรับเข้าถึง API ภายนอก

ปัญหาในแง่ความปลอดภัยคือการเก็บข้อมูลลับเหล่านี้ไม่ควรเก็บอยู่ในโค้ดของตัวโปรแกรม (hard code) เพราะอาจรั่วไหลไปยังบุคคลอื่นได้ ที่ผ่านมาก็มี หลายกรณี ที่รหัสผ่านหลุด จากการฝังไว้แบบ hard code

บริการจัดการรหัสผ่าน 1Password ได้เพิ่มฟีเจอร์ใหม่เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้รั่วออกไปหรือยัง โดยใช้บริการของ Troy Hunt ผู้เชี่ยวชาญด้านความปลอดภัยที่มีชื่อว่า Pwned Passwords โดยบริการนี้มีฐานข้อมูลรหัสผ่านเก็บได้จากการรั่วไหลจำนวนกว่า 500 ล้านรหัส

วิธีใช้งานสำหรับผู้ใช้ 1Password คือจะต้องล็อกอินเข้าไปที่เว็บไซต์ 1Password.com ก่อน จากนั้นคลิก Open Vault เพื่อดูข้อมูลที่เก็บอยู่ภายใน เลือกบัญชีล็อกอินที่เก็บไว้ จากนั้นกด Shift-Control-Option-C จากนั้นจะมีปุ่ม Check Password ปรากฏขึ้นข้าง ๆ รหัสผ่าน เมื่อคลิกแล้ว 1Password ก็จะติดต่อไปยังระบบ Pwned Passwords เพื่อตรวจสอบและแสดงว่ามีรหัสผ่านนี้อยู่ในฐานข้อมูลหรือไม่

บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID เปิดเผยสถิติ รหัสผ่านยอดแย่ หรือพูดอีกอย่างก็คือรหัสผ่านยอดนิยม ประจำปี 2017

โดยอันดับ 1 และ 2 นั้น ก็ยังคงเดิมไม่เปลี่ยนแปลง นั่นคือ 123456 และ password ส่วนอันดับสามคือ 12345678 ภาพรวมนั้นก็เป็นรหัสผ่านที่คุ้นชิน แต่ Morgan Slain ซีอีโอของ SplashData ให้ข้อสังเกตในอันดับที่ 16 คือ starwars โดยแนะนำว่าแฮกเกอร์มักเลือกใช้คำที่เป็นกระแสนิยมในการคาดเดาะ เพราะผู้ใช้งานมักเลือกคำแนวนี้เป็นรหัสเนื่องจากจำได้ง่าย แต่จริงๆ ไม่ควรนำมาใช้

10 อันดับรหัสผ่านยอดฮิตดูได้ท้ายข่าว

รัฐสภาอังกฤษตรวจพบว่าอีเมลบางส่วนถูกเข้าถึงโดยไม่ได้รับอนุญาต ทำให้ตัดสินใจปิดระบบอีเมลไม่ให้เข้าถึงจากภายนอกรัฐสภา โดยระบุว่ามีบัญชีที่ได้รับผลกระทบน้อยกว่า 1% จากทั้งหมดกว่า 9,000 บัญชี สาเหตุที่ถูกแฮกได้เพราะบัญชีเหล่านี้ตั้งรหัสผ่านที่อ่อนแอเกินไป

มาตรฐานการตั้งรหัสผ่านตาม NIST SP 800-63B เวอร์ชั่นใหม่ยกเลิกการบังคับเงื่อนไขการตั้งรหัสผ่านให้ซับซ้อน แต่ก็แนะนำให้ระบบแสดงมิตเตอร์ความซับซ้อนของรหัสผ่านให้ผู้ใช้เห็น พร้อมกับรวบรวมรายการรหัสผ่านต้องห้ามเพื่อไม่ให้ผู้ใช้นำรหัสผ่านเหล่านั้นไปใช้งานและจำกัดปริมาณการล็อกอินที่ล้มเหลว

ตอนนี้ยังไม่มีข้อมูลว่าแฮกเกอร์ได้ข้อมูลอะไรออกไปบ้าง

TeamSIK กลุ่มวิจัยความปลอดภัยจาก Fraunhofer Institute for Secure Information Technology เข้าตรวจสอบความปลอดภัยของแอปเก็บรหัสผ่านยอดนิยม 7 รายการ พบว่าแอปทั้งหมดมีช่องโหว่หนักเบาต่างกันไป

ช่องโหว่เหล่านี้ส่วนมากถือว่าแอปเก็บรหัสผ่านต้องช่วยปกป้องผู้ใช้แม้จะไม่ล็อกเครื่อง หรือยกเครื่องให้ผู้อื่นใช้งาน หรือแม้แต่ทำข้อมูลส่วนตัวของผู้ใช้หลุดออกไปเช่นการรายงาน URL ที่ผู้ใช้เพิ่มรหัสผ่าน หลายแอปเทียบ URL ผิดพลาดทำให้เติมรหัสผ่านอัตโนมัติทั้งที่เป็นคนละโดเมนกัน

จุดที่พลาดเหมือนกันเช่น การอิมพลีเมนต์เบราว์เซอร์ไว้ในตัวแอปเก็บรหัสผ่านแล้วทำผิดพลาด เช่น ไม่ยอมเข้ารหัสเมื่อเชื่อมต่อไปยังกูเกิล, หรือเปิดให้เบราว์เซอร์อ่านไฟล์เฉพาะที่ไม่ควรอ่านออกมาได้โดยตรง

ศูนย์ความปลอดภัยไซเบอร์อังกฤษ (National Cyber Security Centre - NCSC) เผยแพร่บทความโดย Sacha B เรียกร้องให้เว็บไซต์ต่างๆ เลิกมาตรการห้ามผู้ใช้แปะรหัสผ่านจากคลิปบอร์ด

เว็บไซต์จำนวนมากพยายามเพิ่มมาตรการความปลอดภัยด้วยการห้ามไม่ให้ผู้ใช้แปะรหัสผ่านด้วยคำสั่ง Copy และ Paste อย่างไรก็ดี แนวทางเช่นนี้ไม่เคยมีงานวิจัยรองรับจริงจัง ไม่เคยมีการถกเถียงถึงประโยชน์ที่แท้จริงใน RFC หรือมาตรฐานความปลอดภัยใดๆ

การห้ามแปะรหัสผ่านจากคลิปบอร์ดทำให้ผู้ใช้ไม่สามารถใช้ซอฟต์แวร์จัดการรหัสผ่านบางตัวได้ และไปกระตุ้นให้ผู้ใช้เลือกทางออกที่อันตรายกว่า เช่น การใช้รหัสผ่านซ้ำๆ กัน, ใช้รหัสผ่านที่ง่ายมากๆ, หรือเขียนรหัสผ่านไว้ในที่ที่มองเห็นได้ง่าย

Keeper Seecurity แอพจัดการรหัสผ่าน รวบรวมสถิติรหัสผ่านที่หลุดในปี 2016 รวมกว่า 10 ล้านบัญชี เพื่อมาวิเคราะห์ดูแนวโน้มว่า "รหัสผ่านยอดนิยม" ของประชากรชาวโลกคืออะไรกันแน่

ผลลัพธ์ยังเป็นเหมือน ไม่ได้แตกต่างอะไรจากสถิติในปี 2015 มากนัก รหัสผ่านยอดนิยมยังเป็น 123456 ที่มีคนใช้มากถึง 17% ของรหัสผ่านทั้งหมด และอันดับ Top 10 ก็เต็มไปด้วยรหัสผ่านที่คาดเดาได้ง่าย เช่น password, qwerty, 111111, 123123 เป็นต้น

Keeper บอกว่ารหัสผ่าน 25 อันดับแรกถูกใช้บ่อยมาก และคิดเป็นสัดส่วน 50% ของรหัสผ่าน 10 ล้านชุดที่นำมาวิเคราะห์เลยทีเดียว บริษัทแนะนำว่าถ้าใครยังตั้งรหัสผ่านเหล่านี้อยู่ก็ควรเปลี่ยนทันที

Stephan Electronics ทำฮาร์ดแวร์ขนาดเล็กเก็บรหัสผ่านในชื่อว่า Mooltipass Mini มาระดมทุนในโครงการ Kickstarter ลักษณะเป็นอะลูมิเนียม มีช่องเสียบการ์ดและสายต่อ USB ที่สามารถเชื่อมต่อได้หลายอุปกรณ์ ในการ์ดมีบันทึกรหัสผ่านเข้าอุปกรณ์และอีเมลหรือเว็บไซต์ต่างๆของผู้ใช้ ในการใช้งานสามารถเสียบเข้ากับอุปกรณ์ก็เข้าได้ทันทีโดยไม่ต้องพิมพ์พาสเวิร์ด แก้ปัญหาลืมรหัสผ่านได้

Dashlane แอพจัดการรหัสผ่านอีกรายหนึ่ง ประกาศความร่วมมือกับกูเกิล สร้าง API กลางเพื่อให้แอพบน Android สามารถเข้าถึงรหัสผ่านที่เก็บไว้ในแอพจัดการรหัสผ่านได้แบบไม่จำกัดค่าย

โครงการนี้ชื่อว่า “Open YOLO” (ย่อมาจาก You Only Login Once) เป็น API แบบเปิด ออกแบบมาให้แอพ Android เข้าถึงรหัสผ่านใน password manager ใดๆ ก็ได้ เพื่อกระตุ้นให้ผู้ใช้เก็บรหัสผ่านที่ปลอดภัยลงใน password manager กันมากขึ้น ป้องกันปัญหารหัสผ่านหลุดหรือใช้รหัสผ่านง่ายๆ ซ้ำกันไปมาในทุกแอพ

อย่างไรก็ตาม ตอนนี้ยังไม่มีข้อมูลว่าแอพจัดการรหัสผ่านตัวอื่นๆ เช่น LastPass หรือ 1Password จะเข้าร่วมโครงการนี้ด้วยหรือไม่ หรือสุดท้ายแล้วจะเป็นแค่โครงการที่มี Dashlane ใช้งานเพียงรายเดียว

Lorrie Cranor หัวหน้าฝ่ายเทคโนโลยีของคณะกรรมการการค้าสหรัฐฯ (Federal Trade Commission - FTC) ขึ้นพูดในงาน PasswordCon ระบุถึงความเปลี่ยนแปลงด้านนโยบายของ FTC ที่เคยทวีตแนะนำผู้ใช้ให้เปลี่ยนรหัสผ่านบ่อยๆ เมื่อเธอเห็นทวีตนี้จึงไปพูดคุยกับหัวหน้าฝ่ายความปลอดภัยสารสนเทศ และหัวหน้าฝ่ายสารสนเทศ ระบุว่าผู้เชี่ยวชาญในช่วงหลังๆ ไม่แนะนำให้เปลี่ยนรหัสผ่านกันบ่อยๆ นัก

GoToMyPC บริการเข้าถึงเครื่องจากระยะไกลของ Citrix ถูกโจมตีจากการยิงรหัสผ่านโดยกลุ่มที่มีความเชี่ยวชาญสูง (very sophisticated) ทางบริษัทตัดสินใจที่จะรีเซ็ตรหัสผ่านของผู้ใช้ทั้งหมด โดยเบื้องต้นบริษัทระบุว่ารหัสผ่านที่ใช้โจมตีเป็นรหัสผ่านที่รั่วออกมาจากบริการอื่นและมีการใช้ซ้ำบน GoToMyPC

ยังไม่มีรายละเอียดว่าการโจมตีนี้พิเศษกว่าปกติอย่างไร ทางบริษัทจึงเรียกว่าเป็นการโจมตีจากกลุ่มที่มีความเชี่ยวชาญสูง

ตอนนี้ GoToMyPC แนะนำให้ลูกค้าเปิดใช้งานการยืนยันตัวตนสองขั้นตอน, อย่าใช้รหัสผ่านเป็นคำในพจนานุกรม, ตั้งรหัสผ่านยาว 8 ตัวอักษรขึ้นไป, ใช้รหัสผ่านที่ซับซ้อน

งานวิจัยร่วมระหว่างนักวิจัยจาก Cornell, MIT, และ Dropbox เสนอแนวทางการช่วยเหลือผู้ใช้ในการพิมพ์รหัสผ่านด้วยการแก้ไขรหัสผ่านอย่างง่ายๆ ในรูปแบบที่มักพิมพ์ผิดให้กับผู้ใช้

งานวิจัยเก็บข้อมูลบน Amazon Mechanical Turk ด้วยการให้ผู้ร่วมทดลองพิมพ์รหัสผ่านที่กำหนดแล้วเก็บข้อมูลว่ามีความผิดพลาดรูปแบบใดบ้าง พบว่าความผิดพลาดเกือบครึ่งหนึ่งมาจากการพิมพ์ผิดเพียง 7 แบบ ได้แก่ สลับตัวใหญ่/เล็กทั้งหมด, สลับตัวใหญ่/เล็กเฉพาะตัวแรก, มีตัวอักษรเกินมาตอนท้าย, มีตัวอักษรเกินมาตอนต้น, ลืมพิมพ์ shift เพื่อพิมพ์สัญลักษณ์ในตอนท้าย, พิมพ์ผิดไปปุ่มข้างเคียง, และสับสนระหว่างตัวอักษรที่คล้ายกัน

Florian Bogner ผู้ตรวจสอบความปลอดภัยข้อมูลจาก Kapsch BusinessCom AG รายงานถึงช่องโหว่กระบวนการอัพเดตโปรแกรมเก็บรหัสผ่าน KeePass 2 ที่ตัวโปรแกรมจะตรวจสอบจากเว็บผ่าน HTTP ที่ไม่เข้ารหัส จากนั้นจึงแจ้งเตือนให้ผู้ใช้ไปดาวน์โหลดอัพเดตจากเว็บที่ไม่เข้ารหัสอีกเช่นกัน ทำให้ผู้ใช้มีความเสี่ยงว่าจะดาวน์โหลดอัพเดตปลอมหากถูกคั่นกลางการเชื่อมต่อ

Bogner รายงานปัญหานี้ไปยังผู้พัฒนา KeePass ตั้งแต่เดือนกุมภาพันธ์ โดยแนะนำให้ KeePass ปรับเว็บเป็น HTTPS เสียแต่ทาง KeePass ปฏิเสธ หลังจากเปิดเผยช่องโหว่นี้ต่อสาธารณะ ทาง KeePass เลือกเซ็นลายเซ็นดิจิตอลในตัวติดตั้งแทน โดยมีผลตั้งแต่รุ่น 2.34 เป็นต้นไป

ปัญหารหัสผ่าน LinkedIn ที่ถูกแฮ็กในปี 2012 ออกสู่สาธารณะ ไม่ได้ส่งผลกระทบแค่การแฮ็กบัญชี Twitter ของคนดัง Mark Zuckerberg เท่านั้น แต่มันจะส่งผลให้การถอดค่าแฮชรหัสผ่านมีประสิทธิภาพขึ้นอีกมาก

Jeremi M Gosney นักแกะรหัสผ่านชื่อดัง เขียนบทความลงเว็บ Ars Technica ว่าในปี 2012 เขาและทีมงานได้แกะค่าแฮชของรหัสผ่าน LinkedIn ที่ถูกเผยแพร่จำนวน 6.4 ล้านรหัส และสามารถถอดแฮชได้ถึง 90% ของทั้งหมดในเวลาเพียง 1 สัปดาห์ รอบนี้รหัสผ่านที่เผยแพร่ออกมามีขนาดใหญ่กว่ากันมาก (177.5 ล้านรหัสผ่าน) ซึ่งแทบจะเป็นข้อมูลของผู้ใช้ LinkedIn ทุกราย ในช่วงปี 2012 เลยทีเดียว

ทีมความปลอดภัยของไมโครซอฟท์ ออกมาให้ข้อมูลว่าบัญชี Microsoft Account และระบบไดเรคทอรี Azure AD (Active Directory) ตอนนี้แบนการใช้งานรหัสผ่านพื้นๆ ที่พบได้บ่อย เพื่อความปลอดภัยที่ดีขึ้นของผู้ใช้งาน

ไมโครซอฟท์ระบุว่าปกติแล้วพบความพยายามแฮ็กบัญชีกว่า 10 ล้านครั้งในแต่ละวัน ดังนั้นไมโครซอฟท์มีสถิติเยอะมากว่าแฮ็กเกอร์พยายามเดารหัสผ่านด้วยรหัสแบบไหนบ้าง ไมโครซอฟท์จึงใช้ลิสต์รายการนี้เป็นตัวเปรียบเทียบ เพื่อไม่ให้ผู้ใช้ตั้งรหัสผ่านกลุ่มนี้

ระบบความปลอดภัยของไมโครซอฟท์ยัง "ล็อคบัญชี" ชั่วคราว หากพบว่ามีความพยายามเดารหัสผ่านเพื่อใช้งานบัญชีเหล่านี้

Lorrie Cranor ประธานนักเทคโนโลยีของ FTC (คณะกรรมการการค้าสหรัฐฯ) และยังเป็นศาสตราจารย์วิทยาศาสตร์คอมพิวเตอร์ของสถาบัน Carnegie Mellon ได้เขียนบทความอธิบายว่าการที่ผู้ดูแลระบบกำหนดให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านเพื่อใช้งานคอมพิวเตอร์อยู่บ่อยๆ ส่งผลเสียต่อความปลอดภัยของระบบแทนที่จะเป็นผลดี

หลังๆ เราเริ่มเห็นบริการ Family Share Plan กันมากขึ้น โดยส่วนใหญ่มักเป็นบริการความบันเทิงแบบเหมาจ่าย ทั้งดูหนังและฟังเพลงออนไลน์ แต่ล่าสุดเรากำลังมีบริการเก็บรหัสผ่านแบบแชร์บ้างแล้วครับ

แอพจัดการรหัสผ่าน 1Password เปิดตัวบริการใหม่ 1Password for Families ที่ต่อยอดจากบริการ 1Password for Teams เดิมที่เป็นบริการแบบเหมาจ่ายสำหรับองค์กร โดยบริการตัวใหม่สามารถใช้กับคนในครอบครัวได้สูงสุด 5 คน ในราคาไม่แพงที่ 5 ดอลลาร์ต่อครอบครัวต่อเดือน

ข่าวเก่าไปประมาณหนึ่งสัปดาห์ครับ LastPass แอพจัดการรหัสผ่านยอดนิยมอีกตัวหนึ่ง (ปัจจุบันถูก LogMeIn ซื้อไปแล้ว) เปิดตัวโลโก้ใหม่ที่เรียบง่ายกว่าเดิม

โลโก้เดิมของ LastPass เป็นรูปดอกจัน (asterisk) สีขาวบนพื้นสีแดง ใช้เป็นสัญลักษณ์แทนรหัสผ่านที่ถูกซ่อนไว้ตอนล็อกอิน โลโก้นี้ถูกใช้มาตั้งแต่ปี 2008 แต่ช่วงหลังกลับมีปัญหาเรื่องคดีเครื่องหมายการค้า ทำให้บริษัทต้องมองหาโลโก้ใหม่แทน ซึ่งโลโก้ใหม่เปลี่ยนมาเป็น "จุด" (dot) สามจุดแทนรหัสผ่านในช่องล็อกอินตามแนวคิดเดิม แต่ดูเรียบง่ายและทันสมัยมากขึ้น

เป็นธรรมเนียมทุกๆ ต้นปี บริษัทความปลอดภัย SplashData เจ้าของแอพจัดการรหัสผ่าน TeamsID จะออกมาเผยสถิติ "รหัสผ่านยอดแย่" อยู่เสมอ (อันดับของปี 2014) สำหรับสถิติของปี 2015 ที่เพิ่งผ่านพ้นไป รหัสผ่านยอดแย่อันดับหนึ่งตลอดกาลยังเป็นของ "123456" ตามด้วยอันดับสอง "password" ที่ยังยึดตำแหน่งแชมป์-รองแชมป์ได้อย่างเหนียวแน่น

อย่างไรก็ตาม อันดับสามเกิดการเปลี่ยนแปลงเล็กน้อย โดย "12345678" แซงขึ้นมาเป็นอันดับสาม ตามด้วย "qwerty" ในอันดับสี่ เบียดเอา "12345" ตกลงมาอยู่อันดับห้า

ธนาคาร Deutsche Bank ของเยอรมนี กำลังพัฒนาเทคโนโลยีที่จะนำมาใช้ยืนยันตัวตนแทนรหัสผ่านแบบที่เราคุ้นเคย

เทคโนโลยีที่ Deutsche Bank เลือกใช้งานเป็นการผสานข้อมูลหลายรูปแบบเพื่อยืนยันตัวตนของผู้ใช้ เช่น สถานที่ วิธีการถือโทรศัพท์ ลายนิ้วมือ ใบหน้า (รวมกันกว่า 50 ปัจจัย) ตัวแทนของธนาคารให้สัมภาษณ์ว่าการยืนยันตัวตนจะพิจารณาจากหลายปัจจัยประกอบกัน เช่น มือขวาเจ็บ ต้องถือโทรศัพท์ด้วยมือซ้าย แต่ยังล็อกอินจากที่บ้านเหมือนเดิม ระบบจะพิจารณาว่าเรา "น่าจะ" เป็นตัวจริง โดยขอให้สแกนใบหน้าเพิ่มเข้ามาอีกขั้นด้วย

ตอนนี้เทคโนโลยีของ Deutsche Bank ยังอยู่ในขั้นทดลอง และอาจเปิดให้ลูกค้ากลุ่มที่มีทรัพย์สินเยอะๆ เริ่มใช้ก่อน

โปรแกรมเก็บรหัสผ่านเป็นเครื่องมือสำคัญที่ช่วยรักษาความปลอดภัยให้กับผู้ใช้ แต่หากคอมพิวเตอร์มีมัลแวร์ถูกควบคุมโดยแฮกเกอร์ เครื่องมือใดๆ ก็ช่วยรักษาความปลอดภัยไม่ได้ ล่าสุดนักวิจัยจากบริษัท Security Assessment ออกเครื่องมือ KeeFarce ช่วยดึงฐานข้อมูลรหัสผ่านออกมาจากโปรแกรม KeePass หากโปรแกรมรันอยู่ก่อนแล้ว

การเจาะข้อมูลออกจากเครื่องคอมพิวเตอร์ที่แฮกเกอร์สามารถควบคุมได้ไม่ใช่เรื่องใหม่แต่อย่างใด แต่ KeeFarce แสดงให้เห็นว่าเครื่องมือดึงข้อมูลสามารถทำให้ใช้งานได้ง่าย โดยอาศัยเทคนิค DLL injection ทำให้สามารถดึงรหัสผ่านทั้งหมดออกมาได้

องค์กรประกันคุณภาพข้อมูลแห่งชาติของอังกฤษ (National Technical Authority for Information Assurance - CESG) ออกคำแนะนำการใช้รหัสผ่านฉบับใหม่ ปรับปรุงแนวทางการใช้รหัสผ่านให้ปลอดภัย

คำแนะนำมีหลายข้อ แต่ข้อที่เป็นการเปลี่ยนแปลงหนักๆ คือข้อ 2 ที่ระบุว่าการบังคับเปลี่ยนรหัสผ่านเป็นรอบๆ 30 ถึง 90 วันนั้นเป็นการสร้างภาระให้ผู้ใช้โดยไม่จำเป็น หากรหัสผ่านหลุดไปจริงก็มักจะถูกใช้เจาะระบบในเวลาไม่นาน แนวทางที่ดีกว่าคือการตรวจสอบการใช้รหัสผ่านอย่างต่อเนื่อง แจ้งผู้ใช้เมื่อมีการใช้รหัสผ่านและเปิดช่องทางให้ผู้ใช้รายงานหากมีการใช้รหัสผ่านโดยไม่ได้รับอนุญาต

คำแนะนำของ CESG มีทั้งหมด 7 ข้อ ดังนี้

ที่งาน PasswordCon เมื่อต้นเดือนที่ผ่านมา Marte Løge นักวิจัยจากมหาวิทยาลัยเทคโนโลยีและวิทยาศาสตร์นอร์เวย์นำเสนอการศึกษาการตั้งรูปวาดล็อกหน้าจอแอนดรอยด์ (Android Lock Pattern - ALP) จากผู้ใช้จำนวน 3,400 คน แสดงให้เห็นว่าในโลกความเป็นจริง ALP มีความปลอดภัยไม่สูงนัก แม้โดยตัวรหัสแล้วจะมีความเป็นไปได้ถึง 389,112 รูปแบบก็ตาม

งานวิจัยแสดงให้เห็นว่าคนส่วนมากมักตั้ง ALP ไว้เพียงสี่จุดซึ่งเป็นจำนวนจุดน้อยที่สุดที่แอนดรอยด์ยอมรับ และมีรูปแบบที่วิเคราะห์ได้ง่าย

Intelligent Environments เปิดตัว Emoji เพื่อทดแทนการใช้งาน PIN Code ด้วย Emoji 44 แบบ เพื่อใช้สร้างรหัสผ่านที่ให้ความปลอดภัยมากกว่าการสร้างรหัสจากเลข 0 - 9 ตอนนี้มีผู้ให้บริการธนาคารทางอินเทอร์เน็ตบางรายในอังกฤษแสดงความสนใจแล้ว

ระบบนี้ออกแบบมาโดยเน้นเอาใจผู้ใช้งานช่วงอายุ 15 - 25 ปี ช่วยเพิ่มความน่าใช้งานบนบริการทางการเงิน แต่ยังไม่ได้ทำการจดสิทธิบัตรและคาดว่าจะไม่สามารถทำได้

Apple ประกาศว่า iPhone และ iPad รุ่นที่มีระบบ TouchID และวางขายหลัง iOS 9 จะเปลี่ยนรหัสผ่านขั้นต่ำจากตัวเลข 4 หลักเป็น 6 หลัก (ส่วนผู้ใช้ที่อยากได้ความปลอดภัยที่มากกว่านั้น ก็สามารถสร้างรหัสผ่านเป็นแบบ alphanumeric ที่มีการผสมตัวอักษรกับตัวเลขได้) โดยจะมีผลเฉพาะอุปกรณ์ที่วางขายใหม่เท่านั้น

การเปลี่ยนแปลงครั้งนี้ทำให้รูปแบบของรหัสผ่านมีความหลากหลายมากขึ้น จากเดิมที่ใช้แค่ 4 หลักจะมีความเป็นไปได้เพียง 10,000 แบบ แต่เมื่อเปลี่ยนมาเป็น 6 หลักนั้นจะเพิ่มเป็น 1,000,000 แบบ

การเปลี่ยนแปลงนี้จะใช้ได้กับอุปกรณ์รุ่นเก่าคือ iPhone 5s, 6, 6 Plus, iPad Air 2, และ iPad Mini 3 รวมถึงอุปกรณ์รุ่นใหม่ๆ ที่จะวางขายในอนาคต